BitLocker-Wiederherstellungsprozess
Wenn ein Gerät oder Laufwerk nicht mithilfe des konfigurierten BitLocker-Mechanismus entsperrt werden kann, können Benutzer es möglicherweise selbst wiederherstellen. Wenn die Selbstwiederherstellung keine Option ist oder sich der Benutzer nicht sicher ist, wie er vorgehen soll, sollte der Helpdesk Über Verfahren zum schnellen und sicheren Abrufen von Wiederherstellungsinformationen verfügen.
In diesem Artikel wird beschrieben, wie BitLocker-Wiederherstellungsinformationen für Microsoft Entra, Microsoft Entra hybrid eingebundene und in Active Directory eingebundene Geräte abgerufen werden. Es wird davon ausgegangen, dass der Leser bereits mit dem Konfigurieren von Geräten zum automatischen Sichern von BitLocker-Wiederherstellungsinformationen und den verfügbaren BitLocker-Wiederherstellungsoptionen vertraut ist. Weitere Informationen finden Sie im Artikel Übersicht über die BitLocker-Wiederherstellung .
Selbstwiederherstellung
Das BitLocker-Wiederherstellungskennwort und der Wiederherstellungsschlüssel für ein Betriebssystemlaufwerk oder ein Festplattenlaufwerk können auf einem oder mehreren USB-Geräten gespeichert, gedruckt, auf Microsoft Entra ID oder AD DS gespeichert werden.
Tipp
Das Speichern von BitLocker-Wiederherstellungsschlüsseln in Microsoft Entra ID oder AD DS ist ein empfohlener Ansatz. Auf diese Weise kann ein BitLocker-Administrator oder -Helpdesk Benutzern helfen, ihre Schlüssel zu erhalten.
Wenn die Selbstwiederherstellung die Verwendung eines Kennworts oder Wiederherstellungsschlüssels umfasst, das auf einem USB-Speicherstick gespeichert ist, müssen die Benutzer gewarnt werden, den USB-Speicherstick nicht an demselben Ort wie das Gerät zu speichern, insbesondere während der Reise. Wenn sich beispielsweise sowohl das Gerät als auch die Wiederherstellungselemente in derselben Tasche befinden, wäre es für einen nicht autorisierten Benutzer einfach, auf das Gerät zuzugreifen. Eine weitere Richtlinie, die in Betracht gezogen werden sollte, besteht darin, dass Benutzer sich vor oder nach der Selbstwiederherstellung an den Helpdesk wenden, damit die Grundursache identifiziert werden kann.
Ein Wiederherstellungsschlüssel kann an keinem der folgenden Speicherorte gespeichert werden:
- Das laufwerk, das verschlüsselt wird
- Das Stammverzeichnis eines nicht ersetzbaren Laufwerks
- Ein verschlüsseltes Volume
Warnung
Bei einem Wiederherstellungsschlüssel handelt es sich um vertrauliche Informationen, mit denen Benutzer ein verschlüsseltes Laufwerk entsperren und Administrative Aufgaben auf dem Laufwerk ausführen können. Um die Sicherheit zu erhöhen, wird empfohlen, Self-Service nur in vertrauenswürdigen Umgebungen zu aktivieren oder sich auf die Wiederherstellung des Helpdesks zu verlassen.
Selbstwiederherstellung mit Wiederherstellungskennwort
Wenn Sie Zugriff auf den Wiederherstellungsschlüssel haben, geben Sie die 48 Ziffern auf dem Bildschirm für die Wiederherstellung vor dem Start ein.
- Wenn Beim Eingeben des Wiederherstellungskennworts auf dem Wiederherstellungsbildschirm vor dem Start Probleme auftreten oder Das Gerät nicht mehr gestartet werden kann, können Sie das Laufwerk als sekundäres Laufwerk mit einem anderen Gerät verbinden. Weitere Informationen zum Entsperren finden Sie unter Entsperren eines Laufwerks.
- Wenn das Entsperren mit dem Wiederherstellungskennwort nicht funktioniert, können Sie das BitLocker-Reparaturtool verwenden, um den Zugriff auf Ihr Laufwerk wie zu erhalten.
Selbstwiederherstellung in Microsoft Entra ID
Wenn BitLocker-Wiederherstellungsschlüssel in Microsoft Entra ID gespeichert werden, können Benutzer über die folgende URL darauf zugreifen: https://myaccount.microsoft.com. Auf der Registerkarte Geräte können Benutzer ein Windows-Gerät auswählen, das sie besitzen, und die Option BitLocker-Schlüssel anzeigen auswählen.
Hinweis
Standardmäßig können Benutzer ihre BitLocker-Wiederherstellungsschlüssel aus Microsoft Entra ID abrufen. Dieses Verhalten kann mit der Option Benutzer von der Wiederherstellung der BitLocker-Schlüssel für ihre eigenen Geräte einschränken geändert werden. Weitere Informationen finden Sie unter Einschränken der Standardberechtigungen von Mitgliedsbenutzern.
Selbstwiederherstellung mit USB-Speicherstick
Wenn Benutzer das Wiederherstellungskennwort auf einem USB-Laufwerk gespeichert haben, können sie das Laufwerk an ein gesperrtes Gerät anschließen und die Anweisungen befolgen. Wenn der Schlüssel als Textdatei auf dem Speicherstick gespeichert wurde, müssen Benutzer ein anderes Gerät verwenden, um die Textdatei zu lesen.
Helpdesk-Wiederherstellung
Wenn ein Benutzer nicht über eine Self-Service-Wiederherstellungsoption verfügt, sollte der Helpdesk in der Lage sein, den Benutzer mit einer der folgenden Optionen zu unterstützen:
- Wenn das Gerät Microsoft Entra oder Microsoft Entra hybrid eingebunden ist, können BitLocker-Wiederherstellungsinformationen aus Microsoft Entra ID
- Wenn das Gerät in die Domäne eingebunden ist, können Wiederherstellungsinformationen aus Active Directory abgerufen werden.
- Wenn das Gerät für die Verwendung einer DRA konfiguriert ist, kann das verschlüsselte Laufwerk auf einem anderen Gerät als Datenlaufwerk für den DRA bereitgestellt werden, um das Laufwerk entsperren zu können.
Warnung
Die Sicherung des BitLocker-Wiederherstellungskennworts für Microsoft Entra ID oder AD DS erfolgt möglicherweise nicht automatisch. Geräte sollten mit Richtlinieneinstellungen konfiguriert werden, um die automatische Sicherung zu aktivieren, wie im Artikel Übersicht über die BitLocker-Wiederherstellung beschrieben.
Die folgende Liste kann als Vorlage zum Erstellen eines Wiederherstellungsprozesses für den Abruf von Wiederherstellungskennwörtern durch den Helpdesk verwendet werden.
☑️ | Wiederherstellungsprozessschritt | Details |
---|---|---|
🔲 | Überprüfen der Identität des Benutzers | Die Person, die das Wiederherstellungskennwort anfragt, sollte als autorisierter Benutzer dieses Geräts überprüft werden. Außerdem sollte überprüft werden, ob das Gerät, für das der Benutzer den Namen angegeben hat, dem Benutzer gehört. |
🔲 | Aufzeichnen des Gerätenamens | Der Name des Geräts des Benutzers kann verwendet werden, um das Wiederherstellungskennwort in Microsoft Entra ID oder AD DS zu finden. |
🔲 | Aufzeichnen der Wiederherstellungsschlüssel-ID | Die Wiederherstellungsschlüssel-ID kann verwendet werden, um das Wiederherstellungskennwort in Microsoft Entra ID oder AD DS zu suchen. Die Wiederherstellungsschlüssel-ID wird auf dem Bildschirm für die Wiederherstellung vor dem Start angezeigt. |
🔲 | Suchen des Wiederherstellungskennworts | Suchen Sie das BitLocker-Wiederherstellungskennwort mithilfe des Gerätenamens oder der Wiederherstellungsschlüssel-ID aus Microsoft Entra ID oder AD DS. |
🔲 | Grundursachenanalyse | Bevor dem Benutzer das Wiederherstellungskennwort zugewiesen wird, sollten Informationen gesammelt werden, um zu bestimmen, warum die Wiederherstellung erforderlich ist. Die Informationen können verwendet werden, um eine Grundursachenanalyse durchzuführen. |
🔲 | Geben Sie dem Benutzer das Wiederherstellungskennwort an. | Da das 48-stellige Wiederherstellungskennwort lang ist und eine Kombination aus Ziffern enthält, kann der Benutzer das Kennwort falsch einhören oder falsch eingeben. Die Wiederherstellungskonsole zur Startzeit verwendet integrierte Prüfsummennummern, um Eingabefehler in jedem 6-stelligen Block des 48-stelligen Wiederherstellungskennworts zu erkennen und bietet dem Benutzer die Möglichkeit, solche Fehler zu beheben. |
🔲 | Rotieren des Wiederherstellungskennworts | Wenn die automatische Kennwortrotation konfiguriert ist, generieren Microsoft Entra eingebundene und Microsoft Entra hybrid eingebundene Geräte ein neues Wiederherstellungskennwort und speichern es in Microsoft Entra ID. Ein Administrator kann die Kennwortrotation auch bei Bedarf mithilfe von Microsoft Intune oder Microsoft Configuration Manager auslösen. |
Helpdesk-Wiederherstellung in Microsoft Entra ID
Es gibt einige Microsoft Entra ID Rollen, die es einem delegierten Administrator ermöglichen, BitLocker-Wiederherstellungskennwörter von den Geräten im Mandanten zu lesen. Obwohl es üblich ist, dass Organisationen die vorhandenen integrierten Rollen Microsoft Entra ID Cloudgeräteadministrator oder Helpdeskadministrator verwenden, können Sie auch eine benutzerdefinierte Rolle erstellen, die den Zugriff auf BitLocker-Schlüssel mithilfe der microsoft.directory/bitlockerKeys/key/read
Berechtigung delegiert. Rollen können delegiert werden, um auf BitLocker-Wiederherstellungskennwörter für Geräte in bestimmten Verwaltungseinheiten zuzugreifen.
Hinweis
Wenn Geräte, die Windows Autopilot verwenden, für den Beitritt zu Entra wiederverwendet werden und ein neuer Gerätebesitzer vorhanden ist, muss sich dieser neue Gerätebesitzer an einen Administrator wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administratoren mit Benutzerdefinierten Rollen- oder Verwaltungseinheiten verlieren den Zugriff auf BitLocker-Wiederherstellungsschlüssel für gerätespezifische Geräte, bei denen der Gerätebesitz geändert wurde. Diese bereichsbezogenen Administratoren müssen sich für die Wiederherstellungsschlüssel an einen nicht bereichsbezogenen Administrator wenden. Weitere Informationen finden Sie im Artikel Suchen des primären Benutzers eines Intune Geräts.
Die Microsoft Entra Admin Center ermöglicht Administratoren das Abrufen von BitLocker-Wiederherstellungskennwörtern. Weitere Informationen zum Prozess finden Sie unter Anzeigen oder Kopieren von BitLocker-Schlüsseln. Eine weitere Möglichkeit für den Zugriff auf BitLocker-Wiederherstellungskennwörter ist die Verwendung des Microsoft-Graph-API, der für integrierte oder skriptbasierte Lösungen nützlich sein kann. Weitere Informationen zu dieser Option finden Sie unter Abrufen von bitlockerRecoveryKey.
Im folgenden Beispiel verwenden wir das Microsoft Graph PowerShell-CmdletGet-MgInformationProtectionBitlockerRecoveryKey
, um eine PowerShell-Funktion zu erstellen, die Wiederherstellungskennwörter aus Microsoft Entra ID abruft:
function Get-EntraBitLockerKeys{
[CmdletBinding()]
param (
[Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
[string]$DeviceName
)
$DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
if ($DeviceID){
$KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
if ($keyIds) {
Write-Host -ForegroundColor Yellow "Device name: $devicename"
foreach ($keyId in $keyIds) {
$recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
Write-Host -ForegroundColor White " Key id: $keyid"
Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
}
} else {
Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
}
} else {
Write-Host -ForegroundColor Red "Device $DeviceName not found"
}
}
Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome
Nachdem die Funktion geladen wurde, können sie verwendet werden, um BitLocker-Wiederherstellungskennwörter für ein bestimmtes Gerät abzurufen. Beispiel:
PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773
Hinweis
Für Geräte, die von Microsoft Intune verwaltet werden, können BitLocker-Wiederherstellungskennwörter aus den Geräteeigenschaften im Microsoft Intune Admin Center abgerufen werden. Weitere Informationen finden Sie unter Anzeigen von Details für Wiederherstellungsschlüssel.
Helpdesk-Wiederherstellung in Active Directory Domain Services
Zum Exportieren eines Wiederherstellungskennworts aus AD DS benötigen Sie Lesezugriff auf objekte, die in AD DS gespeichert sind. Standardmäßig haben nur Domänenadministratoren Zugriff auf BitLocker-Wiederherstellungsinformationen, aber der Zugriff kann an bestimmte Sicherheitsprinzipale delegiert werden .
Um den Abruf von BitLocker-Wiederherstellungskennwörtern aus AD DS zu erleichtern, können Sie das Tool BitLocker-Wiederherstellungskennwort-Viewer verwenden. Das Tool ist im Lieferumfang der Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT) enthalten und eine Erweiterung für das Active Directory-Benutzer und -Computer MMC-Snap-In (Microsoft Management Console).
Mit bitLocker Recovery Password Viewer haben Sie folgende Möglichkeiten:
- Überprüfen Sie die Eigenschaften des Active Directory-Computerobjekts, um die zugeordneten BitLocker-Wiederherstellungskennwörter abzurufen.
- Durchsuchen von Active Directory nach BitLocker-Wiederherstellungskennwort für alle Domänen in der Active Directory-Gesamtstruktur
In den folgenden Verfahren werden die gängigsten Aufgaben beschrieben, die mit dem BitLocker-Wiederherstellungskennwort-Viewer ausgeführt werden.
Anzeigen der Wiederherstellungskennwörter für ein Computerobjekt
- Öffnen Sie Active Directory-Benutzer und -Computer MMC-Snap-In, und wählen Sie den Container oder die Organisationseinheit aus, in dem sich die Computerobjekte befinden.
- Klicken Sie mit der rechten Maustaste auf das Computerobjekt, und wählen Sie Eigenschaften aus.
- Wählen Sie im Dialogfeld Eigenschaften die Registerkarte BitLocker-Wiederherstellung aus, um die BitLocker-Wiederherstellungskennwörter anzuzeigen, die dem Computer zugeordnet sind.
Suchen eines Wiederherstellungskennworts mithilfe einer Kennwort-ID
- Klicken Sie Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänencontainer, und wählen Sie BitLocker-Wiederherstellungskennwort suchen aus.
- Geben Sie im Dialogfeld BitLocker-Wiederherstellungskennwort suchen die ersten acht Zeichen des Wiederherstellungskennworts in das Feld Kennwort-ID (erste 8 Zeichen) ein, und wählen Sie Suchen aus.
Datenwiederherstellungs-Agents
Wenn Geräte mit einem DRA konfiguriert sind, kann der Helpdesk den DRA verwenden, um das Laufwerk zu entsperren. Sobald das BitLocker-Laufwerk an ein Gerät angefügt ist, das über den privaten Schlüssel des DRA-Zertifikats verfügt, kann das Laufwerk mit dem manage-bde.exe
Befehl entsperrt werden.
Verwenden Sie beispielsweise den folgenden Befehl, um den für ein BitLocker-geschütztes Laufwerk konfigurierten DRA aufzulisten:
C:\>manage-bde.exe -protectors -get D:
Volume D: [Local Disk]
All Key Protectors
Data Recovery Agent (Certificate Based):
ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
Certificate Thumbprint:
f46563b1d4791d5bd827f32265341ff9068b0c42
Wenn der private Schlüssel des Zertifikats mit dem Fingerabdruck f46563b1d4791d5bd827f32265341ff9068b0c42
im lokalen Zertifikatspeicher verfügbar ist, kann ein Administrator den folgenden Befehl verwenden, um das Laufwerk mit der DRA-Schutzvorrichtung zu entsperren:
manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42
Aufgaben nach der Wiederherstellung
Wenn ein Volume mit einem Wiederherstellungskennwort entsperrt wird:
- Ein Ereignis wird in das Ereignisprotokoll geschrieben.
- Die Plattformvalidierungsmessungen werden im TPM zurückgesetzt, um der aktuellen Konfiguration zu entsprechen.
- Der Verschlüsselungsschlüssel wird freigegeben und ist für die direkte Ver- und Entschlüsselung bereit, wenn Daten in und aus dem Volume geschrieben/gelesen werden.
Nachdem das Volume entsperrt wurde, verhält sich BitLocker auf die gleiche Weise, unabhängig davon, wie der Zugriff gewährt wurde.
Hinweis
Wenn Sie ein Betriebssystemvolume mit einer TPM-Schutzvorrichtung auf ein anderes Gerät verschieben und es mithilfe einer Wiederherstellungsschutzvorrichtung entsperren, wird BitLocker an das neue TPM gebunden. Wenn Sie das Volume an das ursprüngliche Gerät zurückgeben, wird aufgrund des TPM-Konflikts zur Eingabe der Wiederherstellungsschutzvorrichtung aufgefordert. Nachdem das Volume erneut mit der Wiederherstellungsschutzvorrichtung entsperrt wurde, wird es erneut an das ursprüngliche Gerät gebunden.
Wenn auf einem Gerät mehrere Wiederherstellungskennwortereignisse auftreten, sollte ein Administrator nach der Wiederherstellung eine Analyse durchführen, um die Grundursache der Wiederherstellung zu ermitteln. Aktualisieren Sie dann die BitLocker-Plattformüberprüfung, um die Eingabe eines Wiederherstellungskennworts bei jedem Start des Geräts zu verhindern.
Ermitteln der Grundursache der Wiederherstellung
Wenn ein Benutzer das Laufwerk wiederherstellen musste, ist es wichtig, die Grundursache zu ermitteln, die die Wiederherstellung ausgelöst hat, so bald wie möglich. Die ordnungsgemäße Analyse des Zustands des Computers und das Erkennen von Manipulationen kann Bedrohungen offenlegen, die umfassendere Auswirkungen auf die Unternehmenssicherheit haben.
Während ein Administrator die Ursache der Wiederherstellung in einigen Fällen remote untersuchen kann, muss der Benutzer möglicherweise das Gerät, das das wiederhergestellte Laufwerk enthält, vor Ort bringen, um die Grundursache weiter zu analysieren. Hier sind einige Fragen, die verwendet werden können, um die Grundursache der Wiederherstellung zu ermitteln:
☑️ | Frage |
---|---|
🔲 | Welcher BitLocker-Schutzmodus ist konfiguriert (TPM, TPM + PIN, TPM + Startschlüssel, nur Startschlüssel)? |
🔲 | Wenn der TPM-Modus konfiguriert ist, wurde die Wiederherstellung durch eine Änderung der Startdatei verursacht? |
🔲 | Welches PCR-Profil wird auf dem Gerät verwendet? |
🔲 | Hat der Benutzer lediglich die PIN vergessen oder den Startschlüssel verloren? |
🔲 | Wenn die Wiederherstellung durch eine Änderung der Startdatei verursacht wurde, ist die Startdatei aufgrund einer beabsichtigten Benutzeraktion (z. B. BIOS-Upgrade) oder aufgrund einer schadhaften Software geändert? |
🔲 | Wann konnte der Benutzer das Gerät zuletzt erfolgreich starten, und was könnte seitdem mit dem Gerät geschehen sein? |
🔲 | Ist der Benutzer möglicherweise auf Schadsoftware gestoßen oder hat das Gerät seit dem letzten erfolgreichen Start unbeaufsichtigt gelassen? |
Um diese Fragen zu beantworten, können Sie den manage-bde.exe -status
Befehl verwenden, um den aktuellen Konfigurations- und Schutzmodus anzuzeigen. Überprüfen Sie das Ereignisprotokoll, um Ereignisse zu finden, die angeben, warum die Wiederherstellung initiiert wurde (z. B. bei einer Änderung der Startdatei).
Beheben der Grundursache
Nachdem Sie die Ursache der Wiederherstellung ermittelt haben, kann der BitLocker-Schutz zurückgesetzt werden, um die Wiederherstellung bei jedem Start zu vermeiden.
Die Details des Zurücksetzens können je nach Der Grundursache der Wiederherstellung variieren. Wenn die Ursache nicht ermittelt werden kann oder wenn das Gerät von einer Schadsoftware oder einem Rootkit infiziert wird, sollte der Helpdesk bewährte Virenrichtlinien anwenden, um angemessen zu reagieren.
Hinweis
Das Zurücksetzen des BitLocker-Validierungsprofils kann durch Anhalten und Fortsetzen von BitLocker durchgeführt werden.
Grundursache
Schritte
Unbekannte PIN
Wenn ein Benutzer die PIN vergessen hat, muss die PIN zurückgesetzt werden, während er am Computer angemeldet ist, um zu verhindern, dass BitLocker bei jedem Neustart des Computers die Wiederherstellung initiiert.
So verhindern Sie eine fortgesetzte Wiederherstellung aufgrund einer unbekannten PIN:
- Entsperren des Geräts mit dem Wiederherstellungskennwort
- Erweitern Sie im BitLocker-Systemsteuerung Applet das Laufwerk, und wählen Sie dann PIN ändern aus.
- Wählen Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung die Option Vergessene PIN zurücksetzen aus. Wenn das angemeldete Konto kein Administratorkonto ist, müssen Sie Administratoranmeldeinformationen angeben.
- Geben Sie im Dialogfeld PIN-Zurücksetzung die neue ZU verwendende PIN an, bestätigen Sie sie, und wählen Sie dann Fertig stellen aus.
- Die neue PIN kann verwendet werden, wenn das Laufwerk das nächste Mal entsperrt werden muss.
Startschlüssel verloren
Wenn der USB-Speicherstick, der den Startschlüssel enthält, verloren geht, können Sie das Laufwerk mithilfe des Wiederherstellungsschlüssels entsperren. Ein neuer Start kann dann mithilfe von PowerShell, der Eingabeaufforderung oder dem BitLocker-Systemsteuerung Applet erstellt werden.
Beispiele zum Hinzufügen von BitLocker-Schutzvorrichtungen finden Sie im BitLocker-Betriebshandbuch.
Änderungen an Startdateien
Dieser Fehler tritt auf, wenn die Firmware aktualisiert wird. BitLocker sollte angehalten werden, bevor Änderungen an der Firmware vorgenommen werden. Der Schutz sollte dann fortgesetzt werden, nachdem das Firmwareupdate abgeschlossen ist. Das Anhalten von BitLocker verhindert, dass das Gerät in den Wiederherstellungsmodus wechselt. Wenn jedoch Änderungen auftreten, wenn der BitLocker-Schutz aktiviert ist, kann das Wiederherstellungskennwort zum Entsperren des Laufwerks verwendet werden, und das Plattformvalidierungsprofil wird aktualisiert, sodass die Wiederherstellung beim nächsten Mal nicht erfolgt.
Beispiele zum Anhalten und Fortsetzen von BitLocker-Schutzvorrichtungen finden Sie im BitLocker-Betriebshandbuch.
Rotieren von Kennwörtern
Administratoren können eine Richtlinieneinstellung konfigurieren, um die automatische Rotation des Wiederherstellungskennworts für Microsoft Entra und Microsoft Entra hybrid eingebundenen Geräten zu aktivieren.
Wenn die automatische Rotation des Wiederherstellungskennworts aktiviert ist, rotieren Geräte das Wiederherstellungskennwort automatisch, nachdem das Kennwort zum Entsperren des Laufwerks verwendet wurde. Dieses Verhalten verhindert, dass dasselbe Wiederherstellungskennwort mehrmals verwendet wird, was ein Sicherheitsrisiko darstellen kann.
Weitere Informationen finden Sie unter Konfigurieren der Rotation von Wiederherstellungskennwörtern.
Eine weitere Möglichkeit besteht darin, die Rotation von Wiederherstellungskennwörtern für einzelne Geräte per Remotezugriff mithilfe von Microsoft Intune oder Microsoft Configuration Manager zu initiieren.
Weitere Informationen zum Rotieren von BitLocker-Wiederherstellungskennwörtern mithilfe von Microsoft Intune oder Microsoft Configuration Manager finden Sie unter:
BitLocker-Reparaturtool
Wenn die weiter oben in diesem Dokument beschriebenen Wiederherstellungsmethoden das Volume nicht entsperren, kann das BitLocker-Reparaturtool (repair-bde.exe
) verwendet werden, um das Volume auf Blockebene zu entschlüsseln. Das Tool verwendet das BitLocker-Schlüsselpaket , um verschlüsselte Daten von stark beschädigten Laufwerken wiederherzustellen.
Die wiederhergestellten Daten können dann verwendet werden, um verschlüsselte Daten zu retten, auch wenn das richtige Wiederherstellungskennwort das beschädigte Volume nicht entsperren kann. Es wird empfohlen, das Wiederherstellungskennwort weiterhin zu speichern, da ein Schlüsselpaket ohne das entsprechende Wiederherstellungskennwort nicht verwendet werden kann.
Verwenden Sie das Reparaturtool unter den folgenden Bedingungen:
- Das Laufwerk wird mit BitLocker verschlüsselt.
- Windows wird nicht gestartet, oder der BitLocker-Wiederherstellungsbildschirm wird nicht gestartet
- Es gibt keine Sicherungskopie der Daten, die auf dem verschlüsselten Laufwerk enthalten sind.
Hinweis
Eine Beschädigung des Laufwerks ist möglicherweise nicht mit BitLocker verbunden. Daher wird empfohlen, andere Tools auszuprobieren, um das Problem mit dem Laufwerk zu diagnostizieren und zu beheben, bevor Sie das BitLocker-Reparaturtool verwenden. Die Windows-Wiederherstellungsumgebung (Windows RE) bietet weitere Optionen zum Reparieren von Windows.
Für Repair-bde gelten die folgenden Einschränkungen:
- Ein Laufwerk, das während des Verschlüsselungs- oder Entschlüsselungsprozesses fehlgeschlagen ist, kann nicht repariert werden.
- Es wird davon ausgegangen, dass das Laufwerk vollständig verschlüsselt ist, wenn das Laufwerk über eine Verschlüsselung verfügt.
Eine vollständige Liste der repair-bde.exe
Optionen finden Sie in der Repair-bde-Referenz.
Hinweis
Zum Exportieren eines Schlüsselpakets aus AD DS benötigen Sie Lesezugriff auf die BitLocker-Wiederherstellungskennwörter und Schlüsselpakete, die in AD DS gespeichert sind. Standardmäßig haben nur Domänenadministratoren Zugriff auf BitLocker-Wiederherstellungsinformationen, aber der Zugriff kann an andere delegiert werden.